Er Zero Trust et produkt eller en filosofi?

Både. Filosofien er veldefinert (NIST 800-207). Produktene som implementerer det danner en stabel: identitetsleverandør, enhetsadministrasjon, tilgangsproxy, policymotor, telemetri. Leverandører selger stykker; "Zero Trust" er arkitekturen du setter sammen fra dem.

Eliminerer Zero Trust behovet for brannmurer?

Ikke helt. Brannmurer fortsatt nyttige for grov nettverksfiltrering og DDoS-resiliens. Men de er ikke lenger det primære tilgangskontrolllaget; tilgangsproxyen er. De fleste Zero Trust-distribusjoner har fortsatt brannmurer; deres rolle har skiftet fra "det" forsvaret til "et" forsvar.

Kan en liten bedrift ta i bruk Zero Trust?

Ja, lettere enn noen gang. Cloudflare Access har et gratis nivå; Tailscale har en generøs gratis plan; Google Workspace og Microsoft 365 kombinerer Zero Trust-funksjoner for bedriftsabonnenter. Barrieren er ikke lenger kostnad; det er den operasjonelle endringen av policy-administrering av hver app.

Er Zero Trust bare SASE / SSE / ZTNA / SDP / [neste akronym]?

Det er relaterte kategorier. SASE (Secure Access Service Edge) er den skyleverte nettverks- og sikkerhetsplattformen. SSE (Security Service Edge) er det eneste sikkerhetsundersettet. ZTNA (Zero Trust Network Access) er den spesifikke applikasjonstilgangsdelen. SDP (Software-Defined Perimeter) er en eldre betegnelse for den samme ideen. Zero Trust er filosofien; dette er produkter som implementerer det.

Hvor lang tid tar en Zero Trust-migrering?

For en bedrift: 2–5 år. Arbeidet er ikke teknologien – det er å identifisere hver applikasjon, hver tjeneste-til-tjeneste-flyt, hver eldre autentiseringsmekanisme og migrere hver enkelt til den nye modellen. Selskaper som sier at de er "Zero Trust" betyr vanligvis at de har en identitets-bevisst proxy for de fleste apper og fortsatt jobber gjennom den lange halen.

Zero Trust Architecture forklart: Sikkerhetsmodellen som erstattet nettverksperimeteren

Zero Trust er sikkerhetsmodellen som forutsetter at ingen deler av nettverket er pålitelig og at hver tilgangsforespørsel må autentiseres og autoriseres uavhengig av hvor den kom fra. Den erstattet den gamle ideen om en hard ytre omkrets med en myk innside, etter et tiår med angrep viste at omkretsen aldri var så hard som annonsert.

Hele artikkelen er gitt på engelsk nedenfor.

Zero Trust Architecture (ZTA) er en sikkerhetsmodell som krever eksplisitt verifisering for hvert tilgangsforsøk til hver ressurs, uten implisitt tillit gitt basert på nettverksplassering. "Aldri stol på, alltid verifiser" - slagordet har blitt sliten, men prinsippet holder. Modellen dukket opp fra John Kindervags Forrester-forskning fra 2010 og er nå kodifisert i NIST SP 800-207.

Hva erstattet det

Den tradisjonelle modellen — «slott og vollgrav» — antas:

Ttrusler kommer utenfra; når du først er inne, er du klarert
Brannmurer og VPN-er definerer omkretsen
Nettverket er sikkerhetsgrensen

Dette fungerte til det ikke gjorde det. Kompromittert legitimasjon, forsyningskjedeangrep, ondsinnede innsidere og eksternt arbeid gikk utenom omkretsen. De beryktede bruddene på 2010-tallet – Target, OPM, Anthem, Sony, Equifax – involverte alle en angriper som kom innenfor omkretsen og deretter beveget seg fritt. Omkretsen var det eneste feilpunktet.

Zero Trust sier: anta at angriperen allerede er inne. Autentiser og godkjenne hver forespørsel som om den kom fra et fiendtlig nettverk. Forsvaret er ikke avhengig av en perimeter.

Kjerneprinsippene

NISTs syv grunnsetninger:

Alle datakilder og datatjenester er ressurser. Ingen spesiell status for "XPLZPLX9XX88 interne" kommunikasjonssystemer. er sikret uavhengig av nettverksplassering. Krypter alltid under overføring; ikke stol på bare fordi trafikken er inne i brannmuren.
Tilgang til individuelle ressurser gis på per-økt-basis. Autentiser per ressurs, per forespørsel, ikke én gang per nettverksoppføring.
Tilgang er identifisert av XPLZ39-kontekst. +XPLZ39. ikke bare "er i subnett 10.0.x.x."
Bedriften overvåker og måler integriteten til alle eide og tilknyttede eiendeler. Kontinuerlig enhetshelsesjekking.
Alle ressursautentisering og SXPLZ kan påtvinges dynamiske og XPLZ-kontroller7. avsluttes når holdningen endres.
Bedriften samler inn så mye informasjon som mulig om aktivastatus, nettverksinfrastruktur og kommunikasjon. Telemetri mater risikobeslutningen.

Hvordan det faktisk ser ut i praksis

AXXPLZ5 Tillit deployment moderne vanligvis kombinerer:
Identitetsleverandør (Okta, Microsoft Entra, Google Workspace) — én kilde til sannhet for hvem du er.
Enhetsadministrasjon (Jamf, Intune) — vet hvilke enheter som er sunne, Chrome-enheter og Chrome-enheter kompatibel.
Access proxy (Cloudflare Access, Zscaler, Tailscale, BeyondCorp) — sitter foran alle interne apper og håndhever retningslinjer på hver forespørsel.
Mikrosegmentering, også ingen implisitt trafikktjeneste, også uten implisitt trafikktjeneste. nettverk.
Policy engine — evaluerer hver forespørsel mot regler som kombinerer identitet, enhet og kontekst.
For brukere er resultatet usynlig: åpne Outlook, trykk Salesforce, rediger en Confluence-side – hver enkelt transaksjonsruter, tillater identitetstilgang og ruter gjennom. Brukeren ser ikke policymotoren; de ser SSO og appene bare fungerer.
BeyondCorp: modellen
Googles BeyondCorp-initiativ (startet internt 2009, publisert 2014–2017) var den første storskala Zero Trust-distribusjonen. Google fjernet bedriftens VPN og gjorde alle interne applikasjoner tilgjengelige direkte over det offentlige Internett – bevoktet av en identitetsbevisst proxy som sjekket bruker, enhet og kontekst for hver forespørsel. Modellen beviste at Zero Trust kunne fungere i stor skala, og Google produserte den som Identity-Aware Proxy på GCP.
BeyondCorps suksess drev bransjen. De fleste store bedrifter har i det minste startet en Zero Trust-reise, selv om migreringen går sakte fordi så mye eldre ting ble bygget rundt den gamle perimetermodellen.
Zero Trust og VPNs
Zero Trust blir noen ganger omtalt som "VPNs død". Delvis sant. Tradisjonelle bedrifts-VPN-er gir tilgang til nettverket, hvoretter brukeren kan nå alt de er autorisert for. Zero Trust gir tilgang til spesifikke applikasjoner, ikke nettverket – noe som reduserer eksplosjonsradius betydelig fra en kompromittert bruker.
Moderne alternativer inkluderer Tailscale (som er en VPN, men med ACL-er per applikasjon og identitetsbevisst tilgang – faktisk en liten skala Zero Trust), Cloudflare Access og forskjellige ZTNA (Zero Trust Network Access)-produkter.
Where Zero Trust er vanskelig
deler:
Legacy-applikasjoner. Apper som forventer å være på et pålitelig nettverk har ofte ikke riktig autentisering. De må ettermonteres eller sendes med proxy.
Service-to-service auth. Mikrotjenester som snakker med hverandre er en stor angrepsoverflate, og mTLS pluss identitetsbevisst tjenestenett er operasjonelt komplekst.
Policy-app-eksplosjon er en per-kontekst-eksplosjon. mange regler. Voksne distribusjoner bruker abstraksjoner (grupper, roller, attributter), men den kognitive belastningen er reell.
Migrasjonskostnad. Å erstatte perimeterbaserte kontroller med Zero Trust-kontroller er en flerårig reise for enhver stor organisasjon. De fleste er halvveis.
Zero Trust for individuals
Prinsippene skaleres ned. Som enkeltperson:
Bruk sterk autentisering overalt - passord + 2FA eller passord
Ikke stol på hjemmenettverket ditt - krypter alt i transitt
Kjør minst-privilegerte kontoer på enhetene dine (ikke admin som standard)PLZPLZ3XXX5. siden kompromitterte endepunkter er det vanligste Zero Trust-bruddet
TBehandle nettleserøkter som upålitelige som standard – sandkasse, med innholdsfiltrering
Du vil ikke distribuere en Zero Trust-arkitektur hjemme, men tankegangen – anta at et enkelt lag kan feile direkte.
.

Ofte stilte spørsmål

Er Zero Trust et produkt eller en filosofi?: Både. Filosofien er veldefinert (NIST 800-207). Produktene som implementerer det danner en stabel: identitetsleverandør, enhetsadministrasjon, tilgangsproxy, policymotor, telemetri. Leverandører selger stykker; "Zero Trust" er arkitekturen du setter sammen fra dem.
Eliminerer Zero Trust behovet for brannmurer?: Ikke helt. Brannmurer fortsatt nyttige for grov nettverksfiltrering og DDoS-resiliens. Men de er ikke lenger det primære tilgangskontrolllaget; tilgangsproxyen er. De fleste Zero Trust-distribusjoner har fortsatt brannmurer; deres rolle har skiftet fra "det" forsvaret til "et" forsvar.
Kan en liten bedrift ta i bruk Zero Trust?: Ja, lettere enn noen gang. Cloudflare Access har et gratis nivå; Tailscale har en generøs gratis plan; Google Workspace og Microsoft 365 kombinerer Zero Trust-funksjoner for bedriftsabonnenter. Barrieren er ikke lenger kostnad; det er den operasjonelle endringen av policy-administrering av hver app.
Er Zero Trust bare SASE / SSE / ZTNA / SDP / [neste akronym]?: Det er relaterte kategorier. SASE (Secure Access Service Edge) er den skyleverte nettverks- og sikkerhetsplattformen. SSE (Security Service Edge) er det eneste sikkerhetsundersettet. ZTNA (Zero Trust Network Access) er den spesifikke applikasjonstilgangsdelen. SDP (Software-Defined Perimeter) er en eldre betegnelse for den samme ideen. Zero Trust er filosofien; dette er produkter som implementerer det.
Hvor lang tid tar en Zero Trust-migrering?: For en bedrift: 2–5 år. Arbeidet er ikke teknologien – det er å identifisere hver applikasjon, hver tjeneste-til-tjeneste-flyt, hver eldre autentiseringsmekanisme og migrere hver enkelt til den nye modellen. Selskaper som sier at de er "Zero Trust" betyr vanligvis at de har en identitets-bevisst proxy for de fleste apper og fortsatt jobber gjennom den lange halen.